Vai al contenuto
Avanet
API Sophos Adaptive Attack Protection

API Sophos Adaptive Attack Protection

26. SETTEMBRE 2024

Il panorama delle minacce è in costante evoluzione e gli amministratori IT si trovano di fronte alla sfida di proteggere le loro reti e gli endpoint da attacchi sempre più sofisticati. Una soluzione particolarmente innovativa che aiuta in questo è l’API Adaptive Attack Protection di Sophos. Questa tecnologia rappresenta una misura di protezione dinamica che attiva automaticamente precauzioni di sicurezza aggiuntive quando viene rilevato un attacco. In questo blogpost viene spiegato come funziona l’API Adaptive Attack Protection, quali vantaggi offre e come gli amministratori IT possono integrarla nella loro strategia di sicurezza.

Cos’è l’API Adaptive Attack Protection?

Adaptive Attack Protection (AAP) è un meccanismo di protezione automatico che attiva misure di sicurezza aggiuntive quando vengono rilevati attacchi attivi su un endpoint. Ciò avviene senza intervento manuale e consente agli amministratori di bloccare efficacemente gli aggressori e guadagnare tempo per ulteriori contromisure.

Funzionamento

Sophos Central Policy - Adaptive Attack Protection
Sophos Central Policy - Adaptive Attack Protection

L’Adaptive Attack Protection rileva attività sospette tramite due metodi principali:

  1. Rilevamento di strumenti di attacco: L’AAP è in grado di identificare l’utilizzo di strumenti di attacco comuni e di reagire di conseguenza.
  2. Rilevamento di comportamenti dannosi attivi: Analizzando il comportamento sull’endpoint, l’AAP può rilevare precocemente segni di un attacco in corso e attivare misure di difesa appropriate.

Fonte: Sophos KB - Adaptive Attack Protection

In tali situazioni, vengono attivate restrizioni temporanee che, sebbene d’intralcio nella vita di tutti i giorni, sono necessarie in caso di attacco per prevenire la diffusione della minaccia.

Vantaggi dell’API Adaptive Attack Protection

1. Attivazione automatica

L’AAP è inclusa di default in tutti i prodotti Sophos Central Endpoint e non deve essere attivata manualmente. Non appena viene rilevato un potenziale attacco, vengono automaticamente intraprese le misure appropriate.

2. Protezione avanzata contro gli attacchi

Quando l’AAP rileva un aggressore “hands-on-keyboard”, vengono attivati meccanismi di protezione avanzati. Ciò blocca anche azioni che sono innocue nella vita di tutti i giorni ma pericolose in una situazione di attacco. Questo dà ai difensori più tempo per neutralizzare l’attacco.

3. Funzionalità API estese

Attraverso le estensioni dell’API Endpoint è possibile attivare o disattivare manualmente Adaptive Attack Protection. Ciò è particolarmente utile quando si osservano attività sospette, ma un isolamento completo del dispositivo potrebbe causare significative interruzioni operative.

4. Maggiore visibilità e controllo

Gli amministratori vengono informati di nuovi eventi e avvisi non appena l’AAP diventa attiva su un dispositivo. Ciò consente un monitoraggio proattivo e una rapida risposta alle minacce.

Sophos Adaptive Attack Protection (AAP) - Panoramica

Integrazione nella strategia di sicurezza

L’API Adaptive Attack Protection offre agli amministratori IT la possibilità di adattare le proprie misure di sicurezza in modo flessibile e in base alla situazione. Ecco alcuni scenari di utilizzo consigliati:

1. Risposta automatizzata alle minacce

Attraverso l’attivazione automatica delle funzionalità AAP, i team IT possono reagire alle minacce senza dipendere da interventi manuali. Ciò riduce il tempo di contromisura e minimizza il rischio di un attacco riuscito.

2. Attivazione mirata durante le indagini

Durante l’indagine di attività sospette, l’AAP può essere attivata manualmente per adottare misure di difesa aggiuntive senza isolare completamente il dispositivo dalla rete. Ciò minimizza i potenziali danni mentre le indagini continuano.

3. Attivazione a lungo termine per endpoint critici

Per endpoint particolarmente critici o durante una situazione di minaccia in corso, l’AAP può rimanere attiva tramite l’API per un periodo più lungo. Ciò offre sicurezza aggiuntiva e protegge i sistemi sensibili da potenziali attacchi.

Demo di Adaptive Attack Protection

Questo video dimostrativo mostra come l’AAP di Sophos reagisce in tempo reale a un attacco attivo. L’aggressore tenta vari metodi comuni per compromettere il sistema, inclusa l’esecuzione di script PowerShell dannosi, il download di file sospetti e la creazione di nuovi account utente. Guarda come Sophos Endpoint attiva automaticamente misure di protezione elevate per bloccare queste minacce e proteggere il tuo ambiente IT.

Demo: Sophos Adaptive Attack Protection (AAP)

FAQ

L'AAP deve essere attivata manualmente?

No, è attivata per impostazione predefinita in tutte le licenze Sophos Endpoint e non deve essere configurata manualmente.

Per quanto tempo l'AAP rimane attiva?

L’AAP rimane attiva finché vengono rilevate attività sospette. La durata può essere estesa anche manualmente.

L'AAP può essere utilizzata sui server?

Sì, Adaptive Attack Protection è disponibile sia su endpoint che su server.

L'AAP influisce sulle prestazioni del sistema?

L’impatto sulle prestazioni del sistema è minimo e rilevante solo durante l’attivazione dell’AAP.
David

David

David e responsabile dei contenuti, della struttura e dell'implementazione digitale in Avanet. Il suo obiettivo e rendere chiari, precisi e ottimizzati per i motori di ricerca i temi tecnici complessi.